AD 最佳实践:删除还是禁用?

AD 最佳实践:删除还是禁用?

作为一家为客户提供 IT 系统、服务器和一切的 IT 公司。我试图找到有关 Active Directory 和用户离开公司的最佳实践。我们有不同类型的客户,他们来自不同类型的企业,有大有小。因此,我们有相当多的服务器和许多 Active Directory 需要维护。有人告诉我,我们绝不能删除 AD 中的用户对象,因为如果用户名被重复使用,这是一个很大的安全问题。我被告知的原因是,新用户可能会获得与之前使用过的用户名相同的用户名,这可能会让他获得不应拥有的访问权限。例如,直接在共享文件夹上授予访问权限,而不是通过安全组授予访问权限。

我研究并阅读了大量关于这个主题的文档和其他论坛帖子,但发现自己不太确定。我所了解的关于 AD 的一切就是它对与用户名无关的每个对象使用唯一的 SID。因为用户名可以更改,所以 SID 不可能更改或重复使用。从我发现的情况来看,将帐户长期存储在 AD 中为禁用状态似乎存在很大风险?

我研究过编写一个脚本的可能性,该脚本将用户名转换为哈希值,并将其存储在数据库中,这样我们就可以让 AD 检查用户名是否可用或是否曾被使用过。因此,我们可以在一段时间后删除用户对象。但现在我想知道,如果重用旧用户名确实如此糟糕,那么做所有这些工作是否真的有理由?我们一些客户的 AD 有大约 2000 名禁用用户,其中一些用户已有 2 年多的历史。我们创建了一个新的“OU”,并将其与用户分开并禁用了 OU,但我们仍然想将它们从 AD 中删除,因为我们看不出有什么理由将对象保留数年以避免用户名被重用。

我想知道是否有已知的最佳实践,以及常见的做法是什么?重复使用用户名或将其“永久”存储的最大风险是什么?是否存在与 LDAP 查询、Citrix、Exchange 或其他系统相关的问题?

谢谢您的任何好的建议和信息。

答案1

在我看来,“不重复使用用户名”听起来像是货物崇拜系统管理。 AD 中的用户权限不是内部分配给用户名,而是分配给用户对象的安全标识符 (SID),该标识符在所有意图和目的上都是唯一的。换句话说,我认为保留过时和禁用的用户帐户比保持各种命名空间清晰以备另一位 John Smith 被聘用时的风险更大。

从您的名字来看,我怀疑您可能受到 GDPR 或类似法规的约束,在这种情况下,如果您长时间不必要地保存过多的用户数据,您也会遭受损失。

因此:确保您有一个良好且有效的备份策略,即使对于您的 AD 也是如此。在合理的时间内激活 AD 回收站功能可能是一个好主意。然后创建并测试一个程序,以在用户雇佣结束时删除用户帐户并清除其数据。

相关内容